* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Um descritor de segurança de **modelo de certificado excessivamente permissivo concede direitos de inscrição de certificado a usuários de baixo privilégio**
* O **modelo de certificado define EKUs que permitem autenticação**:
* _Autenticação do Cliente (OID 1.3.6.1.5.5.7.3.2), Autenticação do Cliente PKINIT (1.3.6.1.5.2.3.4), Logon de Cartão Inteligente (OID 1.3.6.1.4.1.311.20.2.2), Qualquer Finalidade (OID 2.5.29.37.0) ou nenhuma EKU (SubCA)._
* **AD** irá **usar** a identidade especificada pelo campo **subjectAltName** (SAN) de um certificado **se** estiver **presente**. Consequentemente, se um solicitante puder especificar o SAN em um CSR, o solicitante pode **solicitar um certificado como qualquer pessoa** (por exemplo, um usuário de administrador de domínio). O objeto AD do modelo de certificado **especifica** se o solicitante **pode especificar o SAN** em sua propriedade **`mspki-certificate-name-`**`flag`. A propriedade `mspki-certificate-name-flag` é uma **máscara de bits** e se a flag **`CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`** estiver **presente**, um solicitante pode especificar o SAN.
Essas configurações permitem que um **usuário de baixo privilégio solicite um certificado com um SAN arbitrário**, permitindo que o usuário de baixo privilégio se autentique como qualquer principal no domínio via Kerberos ou SChannel.
Isso é frequentemente ativado, por exemplo, para permitir que produtos ou serviços de implantação gerem certificados HTTPS ou certificados de host sob demanda. Ou por falta de conhecimento.
Observe que quando um certificado com essa última opção é criado, um **aviso aparece**, mas não aparece se um **modelo de certificado** com essa configuração é **duplicado** (como o modelo `WebServer` que tem `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT` habilitado e então o administrador pode adicionar um OID de autenticação).
Os binários do Windows "Certreq.exe" e "Certutil.exe" podem ser abusados para gerar o PFX: https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee
Além disso, a seguinte consulta LDAP, quando executada no esquema de configuração da floresta AD, pode ser usada para **enumerar****modelos de certificado** que não exigem aprovação/assinaturas, que possuem uma EKU de **Autenticação do Cliente ou Logon de Cartão Inteligente** e têm a flag **`CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`** habilitada:
4. Um descritor de segurança excessivamente permissivo do modelo de certificado concede direitos de inscrição de certificado a usuários de baixo privilégio.
O **EKU de qualquer finalidade** permite que um invasor obtenha um **certificado** para **qualquer finalidade**, como autenticação de cliente, autenticação de servidor, assinatura de código, etc. A mesma **técnica usada para ESC3** pode ser usada para abusar disso.
Um **certificado sem EKUs** - um certificado de AC subordinado - também pode ser abusado para **qualquer finalidade**, mas também pode ser usado para **assinar novos certificados**. Dessa forma, usando um certificado de AC subordinado, um invasor pode **especificar EKUs ou campos arbitrários nos novos certificados**.
No entanto, se o **AC subordinado não for confiável** pelo objeto **`NTAuthCertificates`** (o que não será por padrão), o invasor **não poderá criar novos certificados** que funcionem para **autenticação de domínio**. Ainda assim, o invasor pode criar **novos certificados com qualquer EKU** e valores de certificado arbitrários, dos quais há **muitos** que o invasor poderia potencialmente **abusar** (por exemplo, assinatura de código, autenticação de servidor, etc.) e isso pode ter grandes implicações para outras aplicações na rede, como SAML, AD FS ou IPSec.
A seguinte consulta LDAP, quando executada no esquema de configuração da floresta AD, pode ser usada para enumerar modelos que correspondem a esse cenário:
Este cenário é semelhante ao primeiro e ao segundo, mas **abusando** de um **EKU diferente** (Agente de Solicitação de Certificado) e **2 modelos diferentes** (portanto, possui 2 conjuntos de requisitos).
O EKU do **Agente de Solicitação de Certificado** (OID 1.3.6.1.4.1.311.20.2.1), conhecido como **Agente de Inscrição** na documentação da Microsoft, permite que um principal se **inscreva** para um **certificado** em **nome de outro usuário**.
O **"agente de inscrição"** se inscreve em um **modelo** e usa o **certificado resultante para co-assinar uma CSR em nome do outro usuário**. Em seguida, **envia** a **CSR co-assinada** para a CA, se inscrevendo em um **modelo** que **permite "inscrever em nome de"**, e a CA responde com um **certificado pertencente ao "outro" usuário**.
4. Um descritor de segurança de modelo de certificado excessivamente permissivo permite que usuários com baixos privilégios tenham direitos de inscrição de certificado.
5. O **modelo de certificado define o EKU do Agente de Solicitação de Certificado**. O OID do Agente de Solicitação de Certificado (1.3.6.1.4.1.311.20.2.1) permite solicitar outros modelos de certificado em nome de outros princípios.
3.**A versão do esquema do modelo é 1 ou superior a 2 e especifica um Requisito de Emissão de Política de Aplicativo que exige o EKU do Agente de Solicitação de Certificado**.
As CAs empresariais podem **restringir** os **usuários** que podem **obter** um **certificado de agente de inscrição**, os modelos de inscrição em que os **agentes de inscrição podem se inscrever** e em quais **contas** o agente de inscrição pode **agir em nome de**, abrindo `certsrc.msc``snap-in -> clicando com o botão direito no CA -> clicando em Propriedades -> navegando` até a guia "Agentes de Inscrição".
No entanto, a configuração padrão do CA é "Não restringir agentes de inscrição". Mesmo quando os administradores habilitam "Restringir agentes de inscrição", a configuração padrão é extremamente permissiva, permitindo que qualquer pessoa tenha acesso a todos os modelos de inscrição.
Os **modelos de certificado** possuem um **descritor de segurança** que especifica quais **principais do AD** têm **permissões específicas sobre o modelo**.
Se um **atacante** tiver **permissões suficientes** para **modificar** um **modelo** e **criar** uma das **configurações incorretas** exploráveis das **seções anteriores**, ele poderá explorá-la e **elevar privilégios**.
O ESC4 ocorre quando um usuário possui privilégios de escrita sobre um modelo de certificado. Isso pode ser abusado, por exemplo, para sobrescrever a configuração do modelo de certificado e torná-lo vulnerável ao ESC1.
Como podemos ver no caminho acima, apenas `JOHNPC` possui esses privilégios, mas nosso usuário `JOHN` possui a nova relação `AddKeyCredentialLink` com `JOHNPC`. Como essa técnica está relacionada a certificados, também implementei esse ataque, conhecido como [Shadow Credentials](https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab). Aqui está uma pequena prévia do comando `shadow auto` do Certipy para recuperar o hash NT da vítima.
O Certipy pode sobrescrever a configuração de um modelo de certificado com um único comando. Por **padrão**, o Certipy irá **sobrescrever** a configuração para torná-la **vulnerável ao ESC1**. Também podemos especificar o parâmetro **`-save-old` para salvar a configuração antiga**, o que será útil para **restaurar** a configuração após nosso ataque.
A teia de relacionamentos baseados em ACL interconectados que podem afetar a segurança do AD CS é extensa. Vários **objetos fora dos modelos de certificado** e da própria autoridade de certificação podem ter um **impacto na segurança de todo o sistema AD CS**. Essas possibilidades incluem (mas não se limitam a):
* Qualquer **objeto ou contêiner AD descendente no contêiner**`CN=Serviços de Chave Pública,CN=Serviços,CN=Configuração,DC=<DOMÍNIO>,DC=<COM>` (por exemplo, o contêiner Modelos de Certificado, contêiner Autoridades de Certificação, o objeto NTAuthCertificates, o Contêiner de Serviços de Inscrição, etc.)
Existe outro problema semelhante, descrito no [**post da CQure Academy**](https://cqureacademy.com/blog/enhanced-key-usage), que envolve a flag **`EDITF_ATTRIBUTESUBJECTALTNAME2`**. Conforme descrito pela Microsoft, "se essa flag estiver **ativada** no CA, **qualquer solicitação** (incluindo quando o assunto é construído a partir do Active Directory®) pode ter **valores definidos pelo usuário** no **nome alternativo do assunto**".\
Isso significa que um **atacante** pode se inscrever em **QUALQUER modelo** configurado para **autenticação de domínio** que também **permite que usuários não privilegiados** se inscrevam (por exemplo, o modelo de Usuário padrão) e **obter um certificado** que nos permite **autenticar** como um administrador de domínio (ou **qualquer outro usuário/máquina ativa**).
**Observação**: os **nomes alternativos** aqui são **incluídos** em uma CSR por meio do argumento `-attrib "SAN:"` para `certreq.exe` (ou seja, "Pares de Nome Valor"). Isso é **diferente** do método para **abusar de SANs** em ESC1, pois **armazena informações da conta em um atributo do certificado em vez de uma extensão do certificado**.
[**Certify**](https://github.com/GhostPack/Certify) e [**Certipy**](https://github.com/ly4k/Certipy) também verificam isso e podem ser usados para abusar dessa configuração incorreta:
Após as atualizações de segurança de maio de 2022, os novos **certificados** terão uma **extensão de segurança** que **incorpora** a propriedade **`objectSid` do solicitante**. Para ESC1, essa propriedade será refletida a partir do SAN especificado, mas com **ESC6**, essa propriedade reflete o **`objectSid` do solicitante**, e não do SAN.\
Portanto, **para abusar do ESC6**, o ambiente deve ser **vulnerável ao ESC10** (Mapeamentos de Certificado Fracos), onde o **SAN é preferido em relação à nova extensão de segurança**.
Uma autoridade de certificação em si possui um **conjunto de permissões** que protegem várias **ações da AC**. Essas permissões podem ser acessadas através do `certsrv.msc`, clicando com o botão direito em uma AC, selecionando Propriedades e mudando para a guia Segurança:
Isso também pode ser enumerado através do [**módulo PSPKI**](https://www.pkisolutions.com/tools/pspki/) com `Get-CertificationAuthority | Get-CertificationAuthorityAcl`:
Os dois principais direitos aqui são o direito **`ManageCA`** e o direito **`ManageCertificates`**, que se traduzem em "administrador de CA" e "Gerenciador de Certificados".
Se você tiver um principal com direitos **`ManageCA`** em uma **autoridade de certificação**, podemos usar o **PSPKI** para alterar remotamente o bit **`EDITF_ATTRIBUTESUBJECTALTNAME2`** para **permitir a especificação de SAN** em qualquer modelo ([ECS6](domain-escalation.md#editf\_attributesubjectaltname2-esc6)):
Isso também é possível de forma mais simples com o cmdlet [**Enable-PolicyModuleFlag**](https://www.sysadmins.lv/projects/pspki/enable-policymoduleflag.aspx) do **PSPKI**.
O direito **`ManageCertificates`** permite **aprovar uma solicitação pendente**, portanto, ignorando a proteção de "aprovação do gerenciador de certificados da CA".
No **ataque anterior**, as permissões **`Gerenciar CA`** foram usadas para **habilitar** a flag **EDITF\_ATTRIBUTESUBJECTALTNAME2** e realizar o ataque **ESC6**, mas isso não terá efeito até que o serviço CA (`CertSvc`) seja reiniciado. Quando um usuário tem o direito de acesso `Gerenciar CA`, o usuário também tem permissão para **reiniciar o serviço**. No entanto, isso **não significa que o usuário possa reiniciar o serviço remotamente**. Além disso, o **ESC6 pode não funcionar** em ambientes atualizados devido às atualizações de segurança de maio de 2022.
A técnica se baseia no fato de que usuários com o direito de acesso `Gerenciar CA`_e_`Gerenciar Certificados` podem **emitir solicitações de certificado falhadas**. O modelo de certificado **`SubCA`** é **vulnerável ao ESC1**, mas **apenas administradores** podem se inscrever no modelo. Assim, um **usuário** pode **solicitar** a inscrição no **`SubCA`** - que será **negada** - mas **depois emitida pelo gerente**.
[-] Got error while trying to request certificate: code: 0x80094012 - CERTSRV_E_TEMPLATE_DENIED - The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Com nosso **`Gerenciar CA` e `Gerenciar Certificados`**, podemos então **emitir a solicitação de certificado falha** com o comando `ca` e o parâmetro `-issue-request <ID da solicitação>`.
Em resumo, se um ambiente tiver o **AD CS instalado**, juntamente com um **ponto final de inscrição web vulnerável** e pelo menos um **modelo de certificado publicado** que permita a **inscrição de computadores de domínio e autenticação de clientes** (como o modelo padrão **`Machine`**), então um **atacante pode comprometer QUALQUER computador com o serviço spooler em execução**!
O AD CS suporta vários **métodos de inscrição baseados em HTTP** por meio de funções adicionais do servidor AD CS que os administradores podem instalar. Essas interfaces de inscrição de certificado baseadas em HTTP são todas **ataques de relay NTLM vulneráveis**. Usando o relay NTLM, um atacante em uma **máquina comprometida pode se passar por qualquer conta AD que autentica com NTLM**. Ao se passar pela conta da vítima, um atacante pode acessar essas interfaces web e **solicitar um certificado de autenticação do cliente com base nos modelos de certificado `User` ou `Machine`**.
* A **interface de inscrição web** (uma aplicação ASP com aparência antiga acessível em `http://<caserver>/certsrv/`), por padrão, suporta apenas HTTP, que não pode proteger contra ataques de relay NTLM. Além disso, ela permite explicitamente apenas autenticação NTLM por meio do cabeçalho HTTP de Autorização, portanto, protocolos mais seguros como Kerberos não podem ser usados.
* O **Serviço de Inscrição de Certificado** (CES), o **Serviço Web de Política de Inscrição de Certificado** (CEP) e o **Serviço de Inscrição de Dispositivo de Rede** (NDES) suportam autenticação de negociação por padrão por meio do cabeçalho HTTP de Autorização. A autenticação de negociação **suporta** Kerberos e **NTLM**; consequentemente, um atacante pode **negociar para autenticação NTLM** durante ataques de relay. Esses serviços web pelo menos habilitam HTTPS por padrão, mas infelizmente o HTTPS por si só **não protege contra ataques de relay NTLM**. Somente quando o HTTPS é combinado com o vínculo de canal, os serviços HTTPS podem ser protegidos contra ataques de relay NTLM. Infelizmente, o AD CS não habilita a Proteção Estendida para Autenticação no IIS, que é necessária para habilitar o vínculo de canal.
Problemas comuns dos ataques de relay NTLM são que as **sessões NTLM geralmente são curtas** e que o atacante **não pode** interagir com serviços que **exigem assinatura NTLM**.
No entanto, abusar de um ataque de relay NTLM para obter um certificado do usuário resolve essas limitações, pois a sessão durará enquanto o certificado for válido e o certificado pode ser usado para usar serviços que **exigem assinatura NTLM**. Para saber como usar um certificado roubado, consulte:
Outra limitação dos ataques de relay NTLM é que eles **exigem que uma conta de vítima se autentique em uma máquina controlada pelo atacante**. Um atacante pode esperar ou tentar **forçar** isso:
As Autoridades Certificadoras Empresariais também **armazenam os pontos de extremidade CES** em seus objetos AD na propriedade `msPKI-Enrollment-Servers`. O **Certutil.exe** e o **PSPKI** podem analisar e listar esses pontos de extremidade:
O Certify é uma ferramenta de gerenciamento de certificados que pode ser abusada para obter privilégios de domínio em um ambiente do Active Directory. O Certify permite que os usuários solicitem e gerenciem certificados digitais, incluindo certificados de autenticação de cliente (CAC) e certificados de autenticação de servidor (SAC). Esses certificados podem ser usados para autenticar usuários e serviços em um domínio do Active Directory.
Ao abusar do Certify, um invasor pode solicitar um certificado de autenticação de servidor (SAC) para um serviço específico, como o serviço de diretório do Active Directory. O invasor pode então usar esse certificado para autenticar-se como um serviço legítimo no domínio do Active Directory, obtendo assim privilégios de domínio.
Para abusar do Certify, o invasor precisa ter acesso a uma conta de usuário com permissões para solicitar certificados. Isso pode ser alcançado por meio de técnicas de escalonamento de privilégios ou por meio de comprometimento de credenciais de usuário com privilégios suficientes.
Uma vez que o invasor tenha acesso a uma conta com permissões para solicitar certificados, ele pode usar o Certify para solicitar um certificado de autenticação de servidor (SAC) para o serviço de diretório do Active Directory. O invasor pode então instalar o certificado no serviço de diretório e usá-lo para autenticar-se como um serviço legítimo no domínio do Active Directory.
Ao autenticar-se como um serviço legítimo, o invasor pode obter privilégios de domínio, permitindo-lhe realizar atividades maliciosas, como acessar dados confidenciais, modificar configurações do domínio e comprometer outros sistemas e contas de usuário.
Para mitigar esse tipo de abuso, é importante implementar controles de acesso adequados para limitar quem pode solicitar certificados e monitorar de perto as atividades relacionadas ao Certify. Além disso, é essencial manter as credenciais de usuário seguras e implementar práticas de segurança robustas para evitar comprometimentos de conta.
Por padrão, o Certipy solicitará um certificado com base no modelo `Machine` ou `User`, dependendo se o nome da conta transmitida termina com `$`. É possível especificar outro modelo com o parâmetro `-template`.
Podemos então usar uma técnica como o PetitPotam para forçar a autenticação. Para controladores de domínio, devemos especificar `-template DomainController`.
ESC9 refere-se ao novo valor **`CT_FLAG_NO_SECURITY_EXTENSION`** (`0x80000`) do **`msPKI-Enrollment-Flag`**. Se essa flag estiver definida em um modelo de certificado, a nova extensão de segurança **`szOID_NTDS_CA_SECURITY_EXT`** não será incorporada. ESC9 só é útil quando `StrongCertificateBindingEnforcement` está definido como `1` (padrão), pois uma configuração de mapeamento de certificado mais fraca para Kerberos ou Schannel pode ser abusada como ESC10 - sem ESC9 - pois os requisitos serão os mesmos.
Neste caso, `John@corp.local` tem `GenericWrite` sobre `Jane@corp.local` e queremos comprometer `Administrator@corp.local`. `Jane@corp.local` tem permissão para se inscrever no modelo de certificado `ESC9`, que especifica a flag `CT_FLAG_NO_SECURITY_EXTENSION` no valor `msPKI-Enrollment-Flag`.
Agora, se tentarmos autenticar com o certificado, receberemos o hash NT do usuário `Administrator@corp.local`. Você precisará adicionar `-domain <domínio>` à linha de comando, pois nenhum domínio é especificado no certificado.
*`StrongCertificateBindingEnforcement` definido como `0`
*`GenericWrite` em qualquer conta A para comprometer qualquer conta B
Neste caso, `John@corp.local` tem `GenericWrite` sobre `Jane@corp.local` e queremos comprometer `Administrator@corp.local`. As etapas de abuso são quase idênticas ao ESC9, exceto que qualquer modelo de certificado pode ser usado.
Primeiro, obtemos o hash de `Jane` usando, por exemplo, Shadow Credentials (usando nosso `GenericWrite`).
Isso não viola as restrições, pois o `userPrincipalName` do usuário `Administrator` é `Administrator@corp.local` e não `Administrator`.
Agora, solicitamos qualquer certificado que permita autenticação do cliente, por exemplo, o modelo padrão `User`. Devemos solicitar o certificado como `Jane`.
Agora, se tentarmos autenticar com o certificado, receberemos o hash NT do usuário `Administrator@corp.local`. Você precisará adicionar `-domain <domínio>` à linha de comando, pois nenhum domínio é especificado no certificado.
*`CertificateMappingMethods` contém a flag `UPN` (`0x4`)
*`GenericWrite` em qualquer conta A para comprometer qualquer conta B sem uma propriedade `userPrincipalName` (contas de máquina e administrador de domínio incorporado `Administrator`)
Neste caso, `John@corp.local` tem `GenericWrite` sobre `Jane@corp.local` e queremos comprometer o controlador de domínio `DC$@corp.local`.
Primeiro, obtemos o hash de `Jane` usando, por exemplo, Shadow Credentials (usando nosso `GenericWrite`).
Isso não viola as restrições, pois a conta de computador `DC$` não possui `userPrincipalName`.
Agora, solicitamos qualquer certificado que permita autenticação do cliente, por exemplo, o modelo padrão `User`. Devemos solicitar o certificado como `Jane`.
Agora, como essa chave de registro se aplica ao Schannel, devemos usar o certificado para autenticação via Schannel. É aqui que a nova opção `-ldap-shell` do Certipy entra em jogo.
Se tentarmos autenticar com o certificado e `-ldap-shell`, perceberemos que estamos autenticados como `u:CORP\DC$`. Esta é uma string enviada pelo servidor.
Um dos comandos disponíveis para o shell LDAP é `set_rbcd`, que definirá a Delegação Baseada em Recursos Restrita (RBCD) no alvo. Portanto, poderíamos realizar um ataque RBCD para comprometer o controlador de domínio.
Alternativamente, também podemos comprometer qualquer conta de usuário em que não haja `userPrincipalName` definido ou em que o `userPrincipalName` não corresponda ao `sAMAccountName` dessa conta. A partir dos meus próprios testes, o administrador de domínio padrão `Administrator@corp.local` não possui um `userPrincipalName` definido por padrão, e essa conta deve ter mais privilégios no LDAP do que os controladores de domínio.
## Comprometendo Florestas com Certificados
### Quebrando Confianças de CAs em Florestas de Confiança
A configuração para **inscrição entre florestas** é relativamente simples. Os administradores publicam o **certificado da CA raiz** da floresta de recursos **nas florestas de contas** e adicionam os certificados da **CA empresarial** da floresta de recursos aos contêineres **`NTAuthCertificates`** e AIA **em cada floresta de contas**. Para deixar claro, isso significa que a **CA** na floresta de recursos tem **controle completo** sobre todas as **outras florestas para as quais gerencia a PKI**. Se os atacantes **comprometerem essa CA**, eles podem **forjar certificados para todos os usuários nas florestas de recursos e de contas**, quebrando a fronteira de segurança da floresta.
### Princípios Estrangeiros com Privilégios de Inscrição
Outra coisa com a qual as organizações precisam ter cuidado em ambientes de várias florestas são as CAs empresariais **publicando modelos de certificados** que concedem **Usuários Autenticados ou princípios estrangeiros** (usuários/grupos externos à floresta à qual a CA empresarial pertence) **privilégios de inscrição e edição**.\
Quando uma conta **se autentica em uma confiança**, o AD adiciona o **SID de Usuários Autenticados** ao token do usuário autenticado. Portanto, se um domínio tiver uma CA empresarial com um modelo que **concede privilégios de inscrição a Usuários Autenticados**, um usuário em uma floresta diferente poderá **se inscrever no modelo**. Da mesma forma, se um modelo conceder explicitamente **privilégios de inscrição a um princípio estrangeiro**, então um **relacionamento de controle de acesso entre florestas é criado**, permitindo que um princípio em uma floresta **se inscreva em um modelo em outra floresta**.
Em última análise, esses dois cenários **aumentam a superfície de ataque** de uma floresta para outra. Dependendo das configurações do modelo de certificado, um atacante pode abusar disso para obter privilégios adicionais em um domínio estrangeiro.
## Referências
* Todas as informações desta página foram retiradas de [https://www.specterops.io/assets/resources/Certified\_Pre-Owned.pdf](https://www.specterops.io/assets/resources/Certified\_Pre-Owned.pdf)
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
